Integración de la configuración WSA con el ISEpara los servicios enterados de TrustSec

Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosConfigurarDiagrama de la red y flujo de tráficoASA-VPNASA-FWISEPaso 1. SGT para el TIC y el otro grupoPaso 2. Regla de la autorización para el acceso VPN que asigna SGT = 2 (las TIC)Paso 3. Agregue el dispositivo de red y genere el archivo PAC para ASA-VPNPaso 4. Papel del pxGrid del permisoPaso 5. Genere el certificado para la administración y el papel del pxGridInscripción automática del pxGrid del paso 6.WSAPaso 1. Modo transparente y cambio de direcciónPaso 2. Generación del certificadoPaso 3. Pruebe la Conectividad ISEPaso 4. Perfiles de la identificación ISEPaso 5. Acceda la directiva basada en la etiqueta SGTVerificaciónPaso 1. Sesión de VPNPaso 2. Información de la sesión extraída por el WSAPaso 3. Cambio de dirección del tráfico al WSATroubleshootingCertificados incorrectosEscenario correctoInformación Relacionada

Introducción

Este documento describe cómo integrar el dispositivo de seguridad de la red (WSA) con el IdentityServices Engine (ISE). La versión 1.3 ISE soporta un nuevo pxGrid llamado API. Estos soportes aprotocolo modernos y flexibles autenticación, cifrado, y privilegios (grupos) que permite la

integración fácil con otras soluciones acerca de la seguridad.

La versión 8.7 WSA soporta el protocolo del pxGrid y puede extraer la información de identidaddel contexto del ISE. Como consecuencia, WSA permite que usted construya las directivasbasadas en los grupos de la etiqueta del grupo de seguridad de TrustSec (SGT) extraídos delISE.

Prerequisites

Requisitos

Cisco recomienda que usted tiene experiencia con la configuración de Cisco ISE y elconocimiento básico de estos temas:

Implementaciones y configuración de la autorización ISE●

Configuración CLI adaptante del dispositivo de seguridad (ASA) para el acceso de TrustSec yVPN

●

Configuración WSA●

Comprensión básica de las implementaciones de TrustSec●

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software yhardware.

Microsoft Windows 7●

Versión de software 1.3 de Cisco ISE y posterior●

Versión 3.1 y posterior del Mobile Security de Cisco AnyConnect●

Versión de ASA 9.3.1 de Cisco y posterior●

Versión 8.7 y posterior de Cisco WSA●

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si la red está funcionando,asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configurar

Note: Use la Command Lookup Tool (clientes registrados solamente) para obtener másinformación sobre los comandos usados en esta sección.

Diagrama de la red y flujo de tráfico

Las etiquetas de TrustSec SGT son asignadas por el ISE usado como servidor de autenticaciónpara todos los tipos de usuarios que accedan la red corporativa. Esto implica atado con

alambre/los usuarios de red inalámbrica que autentican vía los portales del 802.1x o del invitadoISE. También, usuarios de VPN remotos que utilizan el ISE para la autenticación.

Para WSA, no importa cómo el usuario ha accedido la red.

Este ejemplo presenta a los usuarios de VPN remotos que terminan la sesión sobre el ASA-VPN.Han asignado esos usuarios una etiqueta específica SGT. Todo el tráfico HTTP a Internet seráinterceptado por el ASA-FW (Firewall) y reorientado al WSA para el examen. El WSA utiliza elperfil de la identidad que permite que clasifique a los usuarios basados en la etiqueta SGT y queconstruya el acceso o las políticas de descifrado basadas en ése.

El flujo detallado es:

El usuario de VPN de AnyConnect termina la sesión de Secure Sockets Layer (SSL) sobre elASA-VPN. El ASA-VPN se configura para TrustSec y utiliza el ISE para la autenticación deusuarios VPN. Asignan el usuario autenticado un valor de la etiqueta SGT = 2 (name= lasTIC). El usuario recibe una dirección IP de la red 172.16.32.0/24 (172.16.32.50 en esteejemplo).

1.

El usuario intenta acceder la página web en Internet. El ASA-FW se configura para elprotocolo web cache communication (WCCP) que reorienta el tráfico al WSA.

2.

El WSA se configura para la integración ISE. Utiliza el pxGrid para descargar la informacióndel ISE: el IP address 172.16.32.50 del usuario se ha asignado la etiqueta 2. SGT.

3.

El WSA procesa el pedido de HTTP del usuario y golpea la política de acceso PolicyForIT.Que la directiva está configurada para bloquear el tráfico a los sitios de los deportes. El restode los usuarios (que no pertenecen a SGT 2) golpean la política de acceso predeterminada ytienen acceso total a los deportes localizan.

4.

ASA-VPN

Esto es un gateway de VPN configurado para TrustSec. La configuración detallada está fuera dealcance de este documento. Refiera a estos ejemplos:

ASA y ejemplo de configuración de TrustSec del Catalyst 3750X Series Switch y guía delTroubleshooting

●

Ejemplo de configuración de la clasificación y de la aplicación de la Versión de ASA 9.2 VPNSGT

●

ASA-FW

El Firewall ASA es responsable del redireccionamiento de WCCP al WSA. Este dispositivo no esconsciente de TrustSec.

interface GigabitEthernet0/0

 nameif outside

 security-level 100

 ip address 172.16.33.110 255.255.255.0

interface GigabitEthernet0/1

 nameif inside

 security-level 100

 ip address 172.16.32.110 255.255.255.0

access-list wccp-routers extended permit ip host 172.16.32.204 any

access-list wccp-redirect extended deny tcp any host 172.16.32.204

access-list wccp-redirect extended permit tcp any any eq www

access-list wccp-redirect extended permit tcp any any eq https

wccp 90 redirect-list wccp-redirect group-list wccp-routers

wccp interface inside 90 redirect in

ISE

El ISE es un punto central en el despliegue de TrustSec. Asigna las etiquetas SGT a todos losusuarios que accedan y autentiquen a la red. Los pasos requeridos para la configuración básicase enumeran en esta sección.

Paso 1. SGT para el TIC y el otro grupo

Elija los grupos del > Security (Seguridad) del acceso del grupo del > Security (Seguridad) de ladirectiva > de los resultados y cree el SGT:

Paso 2. Regla de la autorización para el acceso VPN que asigna SGT = 2 (las TIC)

Elija la directiva > la autorización y cree una regla para el acceso del telecontrol VPN. Todas lasconexiones VPN establecidas vía ASA-VPN conseguirán el acceso total (PermitAccess) y seránasignadas la etiqueta 2 (las TIC) SGT.

Paso 3. Agregue el dispositivo de red y genere el archivo PAC para ASA-VPN

Para agregar el ASA-VPN al dominio de TrustSec, es necesario generar el archivo auto de losConfig del proxy (PAC) manualmente. Ese archivo será importado en el ASA.

Eso se puede configurar de la administración > de los dispositivos de red. Después de que seagregue el ASA, navegue hacia abajo a las configuraciones de TrustSec y genere el archivo PAC.Los detalles para ése se describen en un documento (referido) separado.

Paso 4. Papel del pxGrid del permiso

Elija la administración > el despliegue para habilitar el papel del pxGrid.

Paso 5. Genere el certificado para la administración y el papel del pxGrid

El protocolo del pxGrid utiliza la autenticación certificada para el cliente y el servidor. Es muyimportante configurar los Certificados correctos para el ISE y el WSA. Ambos Certificados debenincluir el nombre de dominio completo (FQDN) en el tema y las Extensiones x509 para laautenticación de cliente y la autenticación de servidor. También, aseegurese el expedientecorrecto DNS A se crea para el ISE y el WSA y hace juego el FQDN correspondiente.

Si ambos Certificados son firmados por un diverso Certificate Authority (CA), es importante incluiresos CA en el almacén de confianza.

Para configurar los Certificados, elija la administración > los Certificados.

El ISE puede generar un pedido de firma de certificado (CSR) para cada papel. Para el papel delpxGrid, la exportación y firma el CSR con CA externo.

En este ejemplo, Microsoft CA se ha utilizado con esta plantilla:

El resultado final pudo parecer:

No olvide crear los expedientes DNS A para ise14.example.com y pxgrid.example.com queseñalan a 172.16.31.202.

Inscripción automática del pxGrid del paso 6.

Por abandono, el ISE no registrará automáticamente a los suscriptores del pxGrid. Eso se debeaprobar manualmente por el administrador. Esa configuración se debe cambiar para la integraciónWSA.

Elija los servicios de la administración > del pxGrid y el autoregistro del permiso del conjunto.

WSA

Paso 1. Modo transparente y cambio de dirección

En este ejemplo, el WSA se configura con apenas la interfaz de administración, el modotransparente, y el cambio de dirección del ASA:

 

Paso 2. Generación del certificado

El WSA necesita confiar en CA para firmar todos los Certificados. Elija el Certificate Management(Administración de certificados) de la red para agregar un certificado de CA:

Es también necesario generar un certificado que el WSA utilizará para autenticar al pxGrid. Elija lared > el Identity Services Engine > el certificado del cliente WSA para generar el CSR, fírmelo conla plantilla correcta de CA (ISE-pxgrid), e impórtelo detrás.

También, para el “certificado ISE Admin” y “el certificado del pxGrid ISE”, importe el certificado deCA (para confiar en el certificado del pxGrid presentado por el ISE):

Paso 3. Pruebe la Conectividad ISE

Elija la red > el Identity Services Engine para probar la conexión al ISE:

Paso 4. Perfiles de la identificación ISE

Elija los perfiles del administrador de seguridad > de la identificación de la red para agregar unnuevo perfil para el ISE. Para” el uso “de la “identificación y de la autenticación transparenteidentifique a los usuarios con el ISE”.

Paso 5. Acceda la directiva basada en la etiqueta SGT

Elija el administrador de seguridad > las políticas de acceso de la red para agregar una nuevadirectiva. La calidad de miembro utiliza el perfil ISE:

Para los grupos y los usuarios seleccionados la etiqueta 2 SGT será agregada (las TIC):

La directiva niega el acceso a todos los sitios de los deportes para los usuarios que pertenecen aSGT LAS TIC:

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Paso 1. Sesión de VPN

El usuario de VPN inicia a una sesión de VPN hacia el ASA-VPN:

El ASA-VPN utiliza el ISE para la autenticación. El ISE crea una sesión y asigna la etiqueta 2 (lasTIC) SGT:

Después de la autenticación satisfactoria, el ASA-VPN crea a una sesión de VPN con la etiqueta2 SGT (vuelta en el access-accept del radio en el Cisco-av-pair):

asa-vpn# show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username     : cisco                  Index        : 2

Assigned IP  : 172.16.32.50           Public IP    : 192.168.10.67

Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel

License      : AnyConnect Essentials

Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128

Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1

Bytes Tx     : 12979961               Bytes Rx     : 1866781

Group Policy : POLICY                 Tunnel Group : SSLVPN

Login Time   : 21:13:26 UTC Tue May 5 2015

Duration     : 6h:08m:03s

Inactivity   : 0h:00m:00s

VLAN Mapping : N/A                    VLAN         : none

Audt Sess ID : ac1020640000200055493276

Security Grp : 2:IT

Puesto que el link entre el ASA-VPN y el ASA-FW no es TrustSec habilitado, el ASA-VPN envíalas tramas sin Tags para ese tráfico (no pueda al GRE encapsulan las tramas Ethernet con elcampo CMD/TrustSec inyectado).

Paso 2. Información de la sesión extraída por el WSA

En esta etapa, el WSA debe recibir la asignación entre la dirección IP, el nombre de usuario, y elSGT (vía el protocolo del pxGrid):

Paso 3. Cambio de dirección del tráfico al WSA

El usuario de VPN inicia una conexión a sport.pl, que es interceptado por el ASA-FW:

asa-fw# show wccp

Global WCCP information:

   Router information:

       Router Identifier:                   172.16.33.110

       Protocol Version:                    2.0

   Service Identifier: 90

       Number of Cache Engines:             1

       Number of routers:                   1

       Total Packets Redirected:            562

       Redirect access-list:                wccp-redirect

       Total Connections Denied Redirect:   0

       Total Packets Unassigned:            0

       Group access-list:                   wccp-routers

       Total Messages Denied to Group:      0

       Total Authentication failures:       0

       Total Bypassed Packets Received:     0

asa-fw# show access-list wccp-redirect

access-list wccp-redirect; 3 elements; name hash: 0x9bab8633

access-list wccp-redirect line 1 extended deny tcp any host 172.16.32.204 (hitcnt=0)

0xfd875b28

access-list wccp-redirect line 2 extended permit tcp any any eq www (hitcnt=562)

0x028ab2b9

access-list wccp-redirect line 3 extended permit tcp any any eq https (hitcnt=0)

0xe202a11e

y tunneled en el GRE al WSA (aviso que la router-identificación WCCP es el IP Address más altoconfigurado):

asa-fw# show capture

capture CAP type raw-data interface inside [Capturing - 70065 bytes]

 match gre any any

asa-fw# show capture CAP

525 packets captured

  1: 03:21:45.035657       172.16.33.110 > 172.16.32.204:  ip-proto-47, length 60

  2: 03:21:45.038709       172.16.33.110 > 172.16.32.204:  ip-proto-47, length 48

  3: 03:21:45.039960       172.16.33.110 > 172.16.32.204:  ip-proto-47, length 640

El WSA continúa la aceptación decontacto con TCP y procesa la petición get. Comoconsecuencia, la directiva nombrada PolicyForIT es golpear y se bloquea el tráfico:

Eso es confirmada por el informe WSA:

Note que el ISE visualiza el nombre de usuario.

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas suconfiguración.

Certificados incorrectos

Cuando el WSA no se inicializa correctamente (los Certificados), pruebe para la falla de conexiónISE:

Los informes ISE pxgrid-cm.log:

[2015-05-06T16:26:51Z] [INFO ] [cm-1.jabber-172-16-31-202]

[TCPSocketStream::_doSSLHandshake] [] Failure performing SSL handshake: 1

La razón del error se puede considerar con Wireshark:

Para una sesión SSL usada para proteger el intercambio extensible de la Mensajería y delprotocolo de la presencia (XMPP) (usado por el pxGrid), el error de los informes SSL del clientedebido a una Cadena de certificados desconocida presentada por el servidor.

Escenario correcto

Para el escenario correcto, los registros ISE pxgrid-controller.log:

2015-05-06 18:40:09,153 INFO [Thread-7][] cisco.pxgrid.controller.sasl.SaslWatcher

-:::::- Handling authentication for user name wsa.example.com-test_client

También, el ISE GUI presenta el WSA como suscriptor con las capacidades correctas:

Información Relacionada

Postura de la Versión de ASA 9.2.1 VPN con el ejemplo de configuración ISE●

Guía de usuarios WSA 8.7●

ASA y ejemplo de configuración de TrustSec del Catalyst 3750X Series Switch y guía delTroubleshooting

●

Guía de configuración del switch de Cisco TrustSec: Comprensión de Cisco TrustSec●

Configurar a un servidor externo para la autorización de usuario del dispositivo de seguridad●

Guía de configuración CLI de la serie VPN de Cisco ASA, 9.1●

Guía del usuario del Cisco Identity Services Engine, versión 1.2●

Soporte Técnico y Documentación - Cisco Systems●